Sécurité : optez pour la phrase de passe

Qu’il s’agisse de se connecter à sa messagerie, de consulter son compte en banque ou encore d’accéder à sa page Facebook, les mots de passe font intégralement partie de notre quotidien numérique. Véritables sésames vers notre vie privée, ils ont une importance capitale pour la protection de nos données personnelles. Seulement voilà : avec le perfectionnement des techniques de piratage, ils sont de plus en plus faciles à cracker. Pour maximiser la protection de ses comptes, une alternative existe. On l’appelle la phrase de passe.

Comme son nom l’indique, une phrase de passe ou passphrase est composée de plusieurs mots qui forment une phrase. Contrairement au mot de passe généralement composé de 8 à 10 caractères, elle se distingue par sa longueur : le plus souvent, elle contient un minimum de 16 caractères et en pratique, elle oscille entre 20 et 30 caractères.

Pour qu’un mot de passe soit considéré comme robuste, il doit être long et inclure une myriade de caractères de tous types. Chiffres, signes de ponctuation, majuscules : tout doit y passer ! Autant d’exigences qui requièrent des trésors d’imagination et qui font de la mémorisation un véritable casse-tête. À raison d’un mot de passe différent par compte, la tâche devient tout bonnement impossible sans s’armer d’un bon bloc-notes ou d’un gestionnaire de mot de passe. Une aide précieuse qui n’est cependant pas sans risques compte tenu de l’ingéniosité des hackers...

Quelle que soit sa longueur, la phrase de passe se retient quant à elle aisément en utilisant de simples moyens mnémotechniques. Et pour ne rien enlever à son charme, elle oppose une résistance nettement supérieure aux tentatives de cracking, comme l’illustre le comic strip signé Randall Munroe, alias XKCD. Une étude menée par Smashing Magazine a révélé qu’en cas d’attaque par force brute (tester toutes les combinaisons de caractères possibles jusqu’à trouver la bonne) avec un PC standard, un mot de passe complexe de 8 caractères ne contenant aucun mot du dictionnaire - tU.w@b3e - finirait par être cracké en 2 ans. Une phrase des plus banales comme “thisisasimplephrase” mettrait quant à elle 3 billions d’années ! Autrement dit, mission impossible. Rien d’étonnant, donc, à ce que l’utilisation des passphrases soit hautement recommandée par Edward Snowden, l’ex-consultant de l’Agence de sécurité américaine (NSA) célèbre pour ses révélations sur la surveillance de masse menée par les Etats-Unis.

La solidité d’une phrase de passe dépend de plusieurs critères dont le premier est sans conteste sa longueur. Plus elle contiendra de mots, plus elle sera à même de résister aux attaques par force brute et par dictionnaire (tenter tous les mots du dictionnaire). À condition, cependant, que ces mots n’aient aucun lien entre eux et soient choisis de manière totalement aléatoire. Pas question, non plus, d’utiliser une phrase tirée d’une oeuvre existante - film, livre, chanson... - qui pourrait être retrouvée en quelque clics.

Besoin d’inspiration ? Prenons un exemple : lamaplafondhierpaddle. La combinaison de ces mots ne fait pas sens en elle-même mais avec un peu d’imagination, il est aisé de la garder en tête en se répétant la phrase “hier, j’ai vu un lama faisant du paddle au plafond”. Et parce que deux précautions valent mieux qu’une, il est possible - et conseillé ! - de complexifier la phrase en y introduisant majuscules, espaces, symboles, fautes d’orthographe et/ou chiffres, comme lamaplafondhierpa2le. Cet ajout renforce ainsi sa sécurité sans pour autant compromettre sa facilité de mémorisation.

À la création d’un mot de passe, un choix entre sécurité et utilisabilité s’opère inévitablement. Ce n’est pas le cas pour la phrase de passe, qui s’impose de son côté comme une protection à la fois solide et user-friendly. L’un comme l’autre pourraient cependant vivre leurs derniers mois puisque le World Wide Web Consortium (W3C) entend bien les reléguer aux oubliettes. Pour ce faire, il a mis en place un groupe de travail, le Web Authentification Working Group, dont la mission est d’élaborer d’ici le 8 février 2017 un tout nouveau système d’authentification basé sur l’appareil utilisé pour s’identifier. Wait and see !